Blog
/
Eindämmung von Ransomware

Wie eine globale Anwaltskanzlei einen Ransomware-Angriff mit Illumio stoppte

Ron Isaacson
,
Leitender Direktor, Field CTO
June 24, 2022
23 min. Lesedauer

Eine globale Anwaltskanzlei wurde getroffen von Ransomware.

Der Angriff breitete sich schnell auf ein Dutzend Server aus.

Die Angreifer waren bereit, das gesamte Netzwerk zu infiltrieren und das Unternehmen als Geisel zu nehmen.

Aber diese Anwaltskanzlei war bereit. Sie hatten Illumio. Und durch den Einsatz unserer Technologie können sie:

  • Beschränkte den Angriff auf nur 12 Server
  • Identifizierte die gefährdeten Systeme und stellte sie innerhalb von Sekunden unter Quarantäne
  • Der Angriff wurde innerhalb weniger Stunden nach dem ersten Verstoß gestoppt
  • Die Bedrohung wurde beendet, bevor die Angreifer sensible Daten verschlüsseln oder stehlen und dem Unternehmen und seinen Kunden schaden konnten

In diesem Beitrag werden wir erklären, wie die globale Anwaltskanzlei den Ransomware-Angriff mit beispielloser Geschwindigkeit gestoppt und gleichzeitig erhebliche Schäden an ihren IT-Systemen, ihrem Unternehmen und vor allem ihren Kunden vermieden hat.

Vom Einbruch zur Räumung in Stunden: Zeitplan eines Angriffs

Es hätte eine Katastrophe sein sollen.

Die Anwaltskanzlei hatte Tausende von Benutzern, Servern und Workstations an Dutzenden von Standorten auf der ganzen Welt. Sie hatte Hunderte von Kunden und speicherte eine Fülle sensibler Daten und Rechtsdokumente in ihrer digitalen Infrastruktur.

Das Unternehmen war ein Hauptziel von Ransomware, und eines Tages passierte es. Sie wurden angegriffen.

Aber der Angriff schlug fehl. Die Cyberkriminellen wurden innerhalb weniger Stunden vertrieben. Hier ist wie es passiert ist, wie Illumio von dem IT-Manager, der die Reaktion auf Vorfälle für die Anwaltskanzlei leitete, mitgeteilt wurde.

Aufgrund des sensiblen Charakters dieses Vorfalls wurden alle Namen und Identifikationsmerkmale zurückgehalten.

Der erste Verstoß: Am frühen Nachmittag, Montag

Einer der Mitarbeiter des Unternehmens erhielt eine Phishing-E-Mail, die von einem Kunden stammte, der von den Angreifern kompromittiert worden war.

„Die Hacker waren raffiniert", sagt der GeschäftsFührend. "Sie schickten eine URL zu einer angeblichen Excel-Datei, aber es war kein Hyperlink. Also kopierte unser Mitarbeiter die URL in seinen Browser, um die Datei herunterzuladen."

Aber nichts ist passiert. Also kontaktierte sie den IT-Helpdesk des Unternehmens, um beim Zugriff auf die Datei zu helfen, obwohl sie noch nicht wusste, dass es sich um bösartigen Code handelte.

14:00 Uhr: Der Angriff beginnt

Der Helpdesk-Mitarbeiter hat die URL in seinen Browser kopiert. Das veranlasste die als Waffe verwendete Datei, ihre Malware zu starten.

„Die Excel-Datei führte ein Makro aus, das es den Angreifern ermöglichte, seine Workstation zu kompromittieren und auf seine Kontoprivilegien zuzugreifen", erklärt der GeschäftsFührend.

14.00 — 15.40 Uhr: Der Angreifer bleibt unentdeckt

Der Computer des IT-Technikers war fast zwei Stunden lang online und unkontrolliert, sodass die Kriminellen Zeit hatten, herauszufinden und zu beurteilen, wie sie ihren Angriff am besten ausführen könnten.

„Die schlechten Schauspieler führten ihre Netzwerkscans sehr vorsichtig und langsam durch, sodass ihre Bewegungen fast nicht nachweisbar waren“, sagt er.

Schließlich fanden die Angreifer Server, auf die sie mit den Rechten zugreifen konnten, die sie von der Helpdesk-Workstation erhalten hatten. Das war der Zeitpunkt, an dem sie ihre Chance abgaben.

15:40 — 16:00 Uhr: Die Angreifer machen ihren Zug

Die Angreifer verschlüsselten die Datenbankdateien zunächst auf einem SQL-Server. Dies führte zum Absturz des Servers. Die IT-Abteilung der Anwaltskanzlei bemerkte den Absturz sofort, untersuchte ihn und sah Anzeichen von Ransomware.

„Unser Datenbankadministrator rief mich um 18.00 Uhr an und sagte mir, er denke, wir wären mit Ransomware getroffen„, sagt er.

16.00 — 16.50 Uhr: Der Kriegsraum wird erstellt

Der IT-Manager informierte seinen CIO darüber, was passiert war. Es war ein Anruf, den kein CIO jemals erhalten möchte. Er befürchtete das Schlimmste. Sie wussten, dass die Uhr angefangen hatte zu ticken.

Die Anwaltskanzlei musste ihre Reaktion orchestrieren — und zwar schnell.

„Innerhalb von etwa 15 Minuten eröffnete ich einen Zoom-Call und traf mich mit Mitgliedern unserer IT- und Sicherheitsteams“, erklärt er. „Wir haben uns die Protokolle angesehen, um zu erfahren, was passiert ist und was bereits kompromittiert war.“

16:50 — 18:15 Uhr: Den Angriff verstehen

„Wir fanden schnell die Protokolle, die auf unseren ‚Patient Null' zurückwiesen — die IT-Helpdesk-Workstation, auf der die bösartige URL und die Ransomware-Datei gehostet wurden“, sagt er.

Aber das war nicht genug. Sie mussten wissen, wo sich der Angriff sonst noch ausgebreitet haben könnte.

„Zu diesem Zeitpunkt vergehen die Minuten“, erklärt der Geschäftsführer. „Wir schnell isoliert diese Workstation und begann, die gesamte Umgebung zu betrachten, um das Ausmaß des Angriffs zu verstehen.“

Das Reaktionsteam brachte seine Anbieter von verwalteten Sicherheitsdiensten (MSSP) um die Hacker aufzuspüren.

Mithilfe seines Sicherheitsinformations- und Event-Management-Tools (SIEM), das Echtzeitdaten zum Anwendungsdatenverkehr von Illumio enthielt, konnte das MSSP das SIEM abfragen und feststellen, dass die Angreifer weitere 11 Server erreicht hatten, darunter einen Cloud-basierten Server, der auf Microsoft Azure lief.

Während der Arbeit des Teams konnten sie anhand der Echtzeit-Telemetrie erkennen, dass sich das Ausmaß des Angriffs vor ihren Augen ausweitete. Die Zeit lief ab.

18:20 Uhr: Illumio beendet den Angriff

Die Anwaltskanzlei musste schnell handeln, um den Verstoß einzudämmen.

Mithilfe von Illumio konnte das Team sofort alle 12 Server — einschließlich der Azure-Cloud-Instanz — in eine Segmentierungs-Ring-Zaun, ohne Zugriff auf das Netzwerk oder die Computerressourcen.

Letztlich war dies die entscheidende Aktion, die den Angriff kalt stoppte.

„Im wahrsten Sinne des Wortes konnten wir mit ein paar Drag-and-Drop-Klicks alle betroffenen Systeme unter Quarantäne stellen“, sagt der Geschäftsführer. „Wenn wir versucht hätten, das mit herkömmlichen Methoden zu tun, hätte es viel, viel länger gedauert und den schlechten Akteuren viele Möglichkeiten gegeben, auf andere Systeme umzusteigen und sich weiter auszubreiten. Mit Illumio waren wir in der Lage, sie sofort herunterzufahren. Sie hatten keine Möglichkeit, irgendwohin zu springen, um uns auszuweichen und sich weiter auszubreiten. Ihr Spaß an diesem Abend war vorbei.“

18:20 — 1:00 Uhr: Bewertung des Schadens

Die Bedrohung war beendet, aber es gab noch viel zu tun.

„Wir mussten den gesamten Angriff untersuchen, um herauszufinden, ob die Täter unsere Daten gestohlen hatten", sagt der GeschäftsFührend. "Wenn wir als Anwaltskanzlei Daten verloren hätten, müssten wir unsere Kunden informieren. Dies würde unserem Ruf schaden und könnte sehr schädlich sein."

Er verlobte einen Firma für die Reaktion auf Vorfälle (IR) um das gesamte Ausmaß des Angriffs zu untersuchen.

Dienstag — Freitag: Auf der Suche nach Beweisen für exfiltrierte Daten

Die IT-Abteilung der Anwaltskanzlei installierte den Software-Agenten der IR-Firma und verwendete dann Illumio, um ihnen Dateien von den infizierten Computern sicher zu senden (um sicherzustellen, dass nichts anderes versehentlich erneut infiziert wurde). Das IR-Team machte sich an die Arbeit.

„Von da an mussten wir nur noch warten", sagt der GeschäftsFührend.

Ende der Woche schloss das IR-Team seine Untersuchung ab.

„Sie kamen zurück und teilten uns mit, dass keine anderen Systeme kompromittiert wurden, und sie bestätigten, dass keine Daten exfiltriert wurden“, sagt er.

Die Nachricht hätte nicht besser sein können. Und die Ergebnisse waren beispiellos.

„Alle - vom Incident-Response-Team bis hin zu unserem MSSP - haben uns gesagt, dass sie noch nie erlebt haben, dass ein Unternehmen so schnell auf einen Ransomware-Angriff reagiert hat", so der GeschäftsFührend. "Sie sagten, es sei unmöglich, einen Angriff auf ein Dutzend Systeme zu begrenzen, weil er sich so schnell ausbreitet. Aber dank Illumio haben wir genau das geschafft".

Ransomware-Abwehr einfacher gemacht

Der IT-Manager sagt, dass Illumio zwar entscheidend dazu beigetragen hat, die Sicherheitsverletzung reaktiv zu stoppen, aber der Einsatz von Die Zero-Trust-Segmentierung von Illumio Die Fähigkeiten vor dem Verstoß machten ebenfalls einen entscheidenden Unterschied.

Obwohl es bei dem Unternehmen nur darum geht 40 Prozent sind mit dem Einsatz von Illumio fertigDie bereits bestehenden Zugriffskontrollen schränkten die Pfade und Optionen, die den Hackern während des Angriffs zur Verfügung standen, stark ein, was dazu beitrug, sie zu verlangsamen und erheblich einzuschränken, auf was sie zugreifen konnten, sobald sie sich im Netzwerk befanden.

„Hätten wir nicht bereits damit begonnen, Illumio zu implementieren, um unsere Umgebung zu segmentieren, wäre dieser Angriff viel, viel schlimmer gewesen", sagt der GeschäftsFührend. "Die Angreifer hätten möglicherweise mehrere Wege aus der Workstation heraus gefunden und sich viel schneller und weiter verbreitet.

Die Lehren aus der erfolgreichen Abwehr eines Ransomware-Angriffs durch die Anwaltskanzlei liegen auf der Hand: Haben Sie die Die richtige Führung, die richtigen Teams und die richtigen Kontrollen eingerichtet, um im Falle eines Verstoßes sofort reagieren zu können.

„Es ist nur eine Frage der Zeit, bis Sie Ihren eigenen Verstoß haben“, sagt die Führungskraft. „In der heutigen Zeit ist es unerlässlich für die Implementierung der Mikrosegmentierung um laterale Bewegungen zu begrenzen, wenn Hacker oder Malware unweigerlich in Ihr Netzwerk gelangen. Illumio ermöglichte es uns, dies auf eine Weise zu tun, die vorher einfach nicht möglich war. Das hat den ganzen Unterschied gemacht.“

Bringen Sie Illumio noch heute in Ihr Unternehmen und seien Sie bereit, Ransomware abzuwehren — bevor Ihr Unternehmen als Geisel genommen wird.

Verwandte Themen

Keine Artikel gefunden.

In Verbindung stehende Artikel

Gehen Sie mit Zero Trust Endpoint Security von Sicherheitslücken aus
Eindämmung von Ransomware

Gehen Sie mit Zero Trust Endpoint Security von Sicherheitslücken aus

Erfahren Sie, warum herkömmliche Ansätze zur Endpunktsicherheit nicht ausreichen und wie Illumio Endpoint Ihre bestehenden Erkennungstools ergänzen kann.

Lesen Sie mehr
Warum die Herstellung von IIoT-Ressourcen vor Ransomware schützen muss
Eindämmung von Ransomware

Warum die Herstellung von IIoT-Ressourcen vor Ransomware schützen muss

You get an overview in the ransomware risk for IIoT resources in production sector.

Lesen Sie mehr
3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio
Eindämmung von Ransomware

3 Schritte zur Reduzierung des Ransomware-Risikos mit dem neuen Ransomware-Schutz-Dashboard von Illumio

Erfahren Sie, wie das Ransomware-Schutz-Dashboard und die verbesserte Benutzeroberfläche (UI) von Illumio Ihnen wichtige Einblicke in das Ransomware-Risiko bieten.

Lesen Sie mehr
Keine Artikel gefunden.

Gehen Sie von einem Verstoß aus.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Sind Sie bereit, mehr über Zero-Trust-Segmentierung zu erfahren?

Erfahre mehr